近年多くの企業でDX推進に伴うクラウド移行が進む中、クラウド環境を狙う巧妙化したサイバー攻撃を阻止するために、セキュリティ対策にゼロトラストの考え方を組み込むのがあたり前になりつつあります。
そこで注目されているのが、クラウド環境の保護・管理を実現する「SSE（Security Service Edge）」です。
本記事では、SSEが注目される背景やメリット、導入時のポイントについて解説します。

SSEとは、米国の調査会社であるGartnerが提唱した「Security Service Edge」の略称です。SSEは、SWG（Secure Web Gateway）、ZTNA（Zero Trust Network Access）、CASB（Cloud Access Security Broker）の各機能を組み合わせて、ひとつのセキュリティサービスとして提供します。 それぞれの機能については後述しますが、機能が統合されているため、複数のセキュリティ対策製品を組み合わせる必要がなく、低コストで導入しやすいサービスとなっています。

そもそもSSEが注目される理由は何なのでしょうか。はじめに、クラウドやSASE（Secure Access Service Edge）の登場といった観点から、SSEが注目される背景について説明します。SSEが注目される背景としてポイントとなるのが、次にあげる3点です。

多くの企業がDXを推進する中、情報資産のクラウド移行が進んでいます。さらに、働き方改革や新型コロナウイルス感染拡大などを背景にテレワークが普及したこともクラウド移行を加速させました。 クラウドの利用が増えることにより通信トラフィックが増加し、ネットワーク機器の増設が必要となることで、セキュリティ対策のコストや担当者の負荷が増加します。また、企業が把握していないシャドーITの増加なども問題となっています。企業が認めていないクラウドサービスの利用は、情報漏洩や不正アクセスなどにもつながる危険があります。さらに、VPNの利用が増加することよる通信速度の低下など新たな問題も表面化しています。 SSEを導入すると、これまで社内にオンプレミスで構築していたセキュリティ対策をクラウドにも構築することができるため、社内だけでなくテレワークで社外からアクセスする環境でも一貫したセキュリティ対策が可能となります。このように、業務環境の変化に合わせ、DX推進に適したセキュリティ対策にシフトすることが急務である現在、SSEはそのための手段として注目を集めています。

SSEが登場した背景として、まずSASEの存在があります。働く場所が多様化し、サイバー攻撃が高度化している現状では、社内ネットワークに依存しない、ゼロトラストセキュリティの考えにもとづく新しいアクセス制御が欠かせません。そこで登場したのが、ゼロトラストネットワークを実現する新しい考え方「SASE」です。 SASEの特長は、複数のネットワーク機能とセキュリティ機能が一つのサービスとして統合されているという点です。複数の製品を導入してつなぎ合わせる形から脱却し、ひとつのセキュリティプラットフォームでシンプルなゼロトラストセキュリティを実現することができます。また、従来のセキュリティ対策では社内の情報資産を中心に境界型の防御を行っていましたが、SASEでは境界がないクラウドに対応し、かつ全体を俯瞰できるセキュリティ対策を実現します。 ゼロトラストセキュリティについては、以下のコラムをご覧ください。

前述のとおり、ゼロトラストセキュリティを実現するにはSASEの導入が有効です。しかし、SASEを構成する要素はセキュリティ機能のほか、「SD-WAN（Software Defined-Wide Area Network）」などのネットワーク機能の要素も含まれています。広い範囲でのシステム構成の見直しや、複数ベンダーの製品が必要となるため、企業にとって導入のハードルが高くなっていました。そこで、ゼロトラストの実現に必要なセキュリティ要素をSASEから切り出したSSEという考え方が登場しました。 SASEからセキュリティ機能を切り離すことで、SASEよりも導入が容易になりました。現在、さまざまなベンダーでSSE製品の開発・提供が進んでいます。 SASEについては以下のコラムをご覧ください。

上記で説明した背景から、DX推進、クラウド移行、テレワークに伴うセキュリティ課題を解決する方法としてSSEのニーズが高まっています。

SSEとSASEは、どちらもGartnerが提唱した概念です。結論から述べると、SSEはSASEの一部と言えます。
SASEは主に以下の5つの要素で構成されます。

SASEは、SD-WAN、WAN最適化、通信の品質を保証するQoSなどのネットワーク機能と、SWGなどのセキュリティ機能で構成されるのに対し、SSEはセキュリティ機能だけで構成されます。ゼロトラストセキュリティ導入にあたり、ネットワークも含めて構築するか、セキュリティ強化を目的とするかでSASEかSSEどちらが適しているか選択するとよいでしょう。

SSEは以下の3つのセキュリティ機能で構成されています。

SSEの3つの機能は、ゼロトラストを実現するSASEのうち、セキュリティサービスの部分にあたり、通信状況の可視化やアクセス制御がベースとなっています。SWGは一般的なWeb向けのセキュリティ、CASBはSaaSなどのクラウドサービスに対するセキュリティ、ZTNAはオンプレシステムや自社管理の情報資産に対するセキュリティを提供します。

SWGは、Webアクセスの可視化やアプリケーション制御により、外部への安全なアクセスをクラウド型で提供します。 SWGは企業のセキュリティポリシーにもとづいてアクセス先の安全性を評価したうえで、不適切なWebサイトへのアクセスをブロックします。 従来のFWやIPSではリモートワーク利用時に社外からのアクセスが脅威にさらされてしまう危険性があります。それに対してSWGは、URLフィルタリング、マルウェアの検知、サンドボックス、コンテンツの無害化などの機能をクラウド型で提供するため、社外からの通信も社内ネットワークと同様に守られます。 SWGは、従来の境界型セキュリティにおけるプロキシサーバーや、IPSなど多様なセキュリティ機器の代わりとなるソリューションです。

CASBは、「可視化」「コンプライアンス」「データセキュリティ」「脅威防御」の機能を有しており、利用者が未許可のクラウドサービスを勝手に使う「シャドーIT」を検知し、セキュリティインシデントの発生を未然に防ぎます。 このように、CASBはクラウドにアクセスする際のセキュリティ強化を実現するソリューションです。

ZTNAは、ゼロトラストセキュリティの考え方にもとづくネットワークアクセス環境を提供するサービスです。どのデバイスもユーザーも「安全ではない」という前提で、すべてのトランザクションを認証し、セキュリティポリシーを基準としたリソースやアプリケーションへの安全なアクセスを提供します。 ZTNAは、ユーザー、デバイス、アプリケーションが情報資産にアクセスする際に毎回検証し、正当なアクセスのみ許可します。そのため、認証済みのユーザーがその後自由にアクセス可能となるVPNとは仕組みが異なります。

SWGには、ゲートウェイとしての役割があり、ユーザーがインターネットにアクセスする際に以下のような機能でユーザーを保護します。以下では、SWGの代表的な機能を解説します。

Webアクセスの通信をコンテンツレベルで監視します。URLなどで問題ないと判断された場合でも、悪意のあるWebサイトかどうかを判断してアクセスを拒否することが可能です。

インターネット上の多くのトラフィックは、HTTPSを使用して暗号化されていますが、SWGは暗号化されたトラフィックを検査し、内部にマルウェアが含まれていないかを確認することが可能です。また、必要に応じてサンドボックスで実行ファイルを動かし、高度なマルウェアチェックを提供します。

オンプレミスおよびクラウド環境のすべてのトラフィックを監視し、従業員がどのアプリケーションを使用しているかを検出します。検出した情報にもとづき、アプリケーションへのアクセスを制御します。近年SSL/TLS暗号化を悪用した攻撃が増えていますが、SWGはSSL/TLSで暗号化された通信を複合して、パケットの中身に対してもアプリケーション制御が可能です。情報漏洩対策だけでなく、シャドーITの防止にも効果があります。

企業では健全な組織統制の観点から、ガバナンスを意識する必要性が増しています。SWGでは、セキュリティポリシーの設定を一元管理できるため、社内のガバナンスを強化することができます。IT管理者の負担を減らしつつIT統制の水準を保つことができます。

CASBはSaaS（Software as a Service）に対して細かいレベルでセキュリティ強化を実現します。以下では、CASBの代表的な機能を解説します。

ユーザーが利用しているクラウドサービスを可視化します。セキュリティレベルの低いクラウドサービスを許可なく利用していないか、機密情報をアップロードしていないかなどを確認できます。利用状況を見ることで、内部からの攻撃や操作誤りによる情報の漏洩を未然に阻止することが可能です。

利用しているクラウドサービスに格納されているファイルにマルウェアなどの脅威が潜んでいないかチェックし、検知した脅威をブロックします。最近被害が増えているランサムウェアなどによる被害拡大防止に有効です。

企業では健全な組織統制の観点から、ガバナンスを意識する必要性が増しています。CASBではセキュリティポリシーの設定を一元管理できるため、社内のガバナンスを強化することができます。

機密性の高い情報資産を暗号化することで、情報漏洩を防ぎます。社内からの情報漏洩だけではなく、不正アクセスやマルウェアなどによる情報漏洩の阻止にも有効です。

CASBについては、以下のコラムをご覧ください。

ZTNAは、ユーザーやデバイスが情報資産にアクセスする度に認証と認可を行います。アプリケーションやデータへのアクセスを一元管理できるため、一貫したセキュリティ対策が可能です。また、オンプレミスの機器によるVPNが持つ通信の安定性や脆弱性といった課題を解決する技術としても注目されています。以下では、ZTNAの代表的な機能とVPNとの違いについて解説します。

多くのVPNでは、一度認証が通ってしまうとどの社内システムにもアクセスできてしまうという問題があります。この仕組みでは悪意をもったユーザーによる不正アクセスやランサムウェア攻撃などのセキュリティインシデントが発生するリスクがあります。 一方で、ZTNAの場合はユーザーがシステムにアクセスする際に認証と認可を実施し、問題がなければシステムへのアクセスが許可される仕組みとなっています。

VPNは通信容量が限られているため、複数の通信が同時に発生すると速度が低下してしまう場合があります。VPN経由でクラウドサービスを利用する場合も、通信遅延が発生することがあります。VPNからZTNAに移行することにより、通信経路の最適化が可能となり、円滑に通信が行えるようになります。

ZTNAではすべての設定をクラウドで行うため、オンプレミスでの機器管理が必要ありません。アクセスポリシーの管理を一元化できるため、統制されたセキュリティ運用がしやすいのが特長です。

ZTNAの環境はVPNとは異なり、アクセスの度に認証・認可がされるので不正アクセスのリスクを低減します。アプリケーションごとにアクセス管理を行うことができるので、万が一特定のアプリケーションを狙ったサイバー攻撃が発生しても、ほかのアプリケーションへの影響を防ぎます。

VPNは社内でハードウェアを管理し、通信量に応じてハードウェアを追加する必要があります。一方で、ZTNAはクラウドでの管理のため、組織の統廃合などでユーザー追加が発生した場合でも、柔軟に対応できます。管理者は、クラウドベースの管理コンソールを使用して、容易にユーザーの追加やアクセス権の設定を行うことができるため、負担軽減につながります。

ここまで、SSEを構成する3つのソリューションについて、それぞれの機能と特長を解説しました。SSEは、3つのソリューションを組み合わせて一つのセキュリティサービスとして提供することで、従来のセキュリティ対策のさまざまな課題を解決します。では具体的にSSEを導入するとどのようなメリットがあるのでしょうか。

SSEを導入することによって得られるメリットは以下の5つです。

以下では、それぞれのメリットについて詳しく解説します。

SSEは、ネットワーク環境に依存しないクラウドサービスでセキュリティ機能を提供するため、テレワーク環境など社外にいるユーザーからのアクセスも柔軟に保護します。

企業はインターネット上に自社のセキュリティポリシーを適用し、ユーザーとアプリケーションを安全に接続することで、セキュアなリモートアクセス環境を構築できます。昨今増加しているVPNに起因するセキュリティリスクを排除できるため、リモートワークなどの多様な働き方にも対応できます。

クラウドサービスの利用が進み、サイバー攻撃が巧妙化した現在では、従来の境界型セキュリティ対策は不十分になっています。SSEはセキュリティに特化しており、ゼロトラストセキュリティの考えにもとづくネットワークを柔軟に構築することができます。SSEでは、アクセスごとに認証と認可を行い、信頼されたアクセスのみを許可することで、攻撃者の侵入を最小限に抑え、セキュリティ強化を図れます。

SSEでは、エンドポイントの近くでアクセス制御やデータチェックを行います。そのため、VPN接続で起こりがちな通信遅延が起こりにくく、テレワーク実施の際などに生産性を低下させることがありません。ユーザーは円滑なアクセスが可能となるため、作業効率を向上することができます。

SSEと同等のセキュリティ機能を複数のセキュリティ対策の組み合わせで導入する場合、それぞれの導入費用に加え、運用費用、設置スペースや電気代など多くのコストがかかります。SSEであれば主要なセキュリティサービスが一つのプラットフォームで提供されることが多いため、従来のネットワークセキュリティの複雑さを排除し、コスト削減も実現できます。 また、ソリューションごとにベンダーを選定する手間も省けるため、導入しやすいというメリットもあります。クラウドでのサービス提供であるため、最初は必要な機能のみ導入し、企業の成長に合わせて機能を簡単に追加していくことも可能です。

企業でDX推進によるクラウド移行が進む中、SSEの需要が高まっています。SSE市場の拡大に伴い、さまざまなベンダーからソリューションが提供されていますが、自社に合ったSSEソリューションを導入することが大切です。 以下では、SSE導入時のポイントを3つ紹介します。

SSEを導入するにあたって、まず、社内で運用しているセキュリティ製品やシステムを洗い出します。このとき、企業内にどのような情報資産があり、それをどこで管理しているのかも確認する必要があります。 ベンダーがエンドポイントのエージェントのインストールを要求しているか、サポートされているOSは何か、対応しているモバイルデバイスは何かと言った点や、ほかのソリューションのエージェントがすでに存在している場合はエージェントが正しく動作するかなども確認しましょう。

SSEを導入するうえで、セキュリティのためにパフォーマンスを犠牲にしないことも重要です。セキュリティは必要不可欠ですが、そのためにユーザーの作業に影響をおよぼしてしまうようでは意味がありません。特に、トラフィックの大部分を占める暗号化された通信の復号と検査を、遅延を起こさずに実施できるかどうかは重要なポイントです。

SSE導入の際には、一気に進めるのではなく、まずは一部の部門で導入したり、移行フェーズを何段階かに区切って計画的に導入したりするのがよいでしょう。段階的な移行は、大規模な変更やリスクを一度に受けることの回避につながります。 また、各段階の導入が完了した後は、システムのテストと評価を行い、要件を満たしているかどうかの確認を行います。次のフェーズに進む前に必要に応じて修正や調整を行い、計画的に導入することで、スムーズな移行と効果的なセキュリティ対策を実現できます。

ここまでご説明したとおり、ゼロトラストの実現のため先に提唱されたのがSASEでした。しかし、SASEに含まれるSD-WANは、多くの社員がオフィスに出社する環境に合ったソリューションです。リモートワークへの移行が進んだことにより、現在はSD-WANなどのネットワーク機能の必要性は低下しています。 現状リモートワークが中心の企業や、拠点間通信（WAN）を含まなくてもよい場合は、SASEに比べて導入の難易度やコストが低いSSEが、ゼロトラストを実現するために有効なソリューションと言えます。

本記事では、SSEが注目される背景やメリット、導入時のポイントについて解説しました。 SSEは、「SWG」「CASB」「ZTNA」の機能を一体化させたクラウドサービスです。DX推進に伴うクラウド移行が進む中、従来のセキュリティ対策では巧妙化したサイバー攻撃を阻止するのは難しくなってきています。これらの課題を解決し、ゼロトラストセキュリティを実現する助けとなるものがSSEです。SSEの導入によって、ネットワークに縛られないセキュリティ対策、安全なリモートアクセスの実現、ユーザーの利便性向上、セキュリティ機能の統合によるコスト削減などのメリットが得られます。 単一ベンダーの製品による構築が難しいSASEに対して、セキュリティ機能に特化したSSEは、導入のハードルが比較的低く、すでにさまざまなサービスが提供されています。SSEを導入する際には現在運用しているセキュリティ対策を洗い出し、ユーザーの利便性が損なわれないソリューションを選択し、既存環境から優先度に応じて段階的に移行することがおすすめです。SSEの導入は、ゼロトラストセキュリティで多くの提案・導入実績がある日立ソリューションズでサポートしています。